Шифратор szem@tutanota.com

[Maxim Shadrin]

Добрый день! Сегодня утром обнаружили что все файлы в общей папке заражены шифратором szem@tutanota.com 

Прикрепляем результаты сканирования  Farbar Recovery Scan Tool и сам исполняемый файл который лежит в каждой папке README.EXE

Помогите пожалуйста! 

 

readme exe .zip

Desktop.zip

[regist]

Порядок оформления запроса о помощи
 

[Maxim Shadrin]

Прикрепляю логи Kaspersky Virus Removal Tool и файл вируса
Боюсь запускать Autologger т.к. после перезагрузки ПК может не запустится
 

Строгое предупреждение от модератора thyrex

Не прикрепляйте вредоносы

report_20180524_162435.klr.zip

[Maxim Shadrin]

Приложили результаты сканирования AutoLogger

CollectionLog-2018.05.24-21.17.zip

[thyrex]

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Updater');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','');
 QuarantineFile('C:\Windows\Media\Long\certsvc.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Windows\Media\Long\certsvc.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\SharePoint\updater.exe','64');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.hta','64');
 DeleteFile('C:\Users\Video\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.hta','64');
 DeleteFile('C:\Windows\wincare.exe','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1621\Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSystemCare');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2572560431-1762078363-2368319235-1103\Software\Microsoft\Windows\CurrentVersion\Run','MediaSVC');
 DeleteFile('C:\Intel\updater.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.

• Обратите внимание: перезагрузкe компьютера нужно выполнить вручную.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Maxim Shadrin]

Ответ KLAN-8123905764: Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
mms.exe
lsm.exe
mms_0.exe
mms_1.exe

Our antivirus databases do not contain the specified URLs:
https://forum.kasperskyclub.ru/index.php?showtopic=59390&p=880638

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

Прикрепили новые логи 

У зараженного ПК был доступ к сетевой папке, в этой папке все документы зашифрованы 

CollectionLog-2018.05.25-18.59.zip

Изменено 25 мая, 2018 пользователем Maxim Shadrin

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Maxim Shadrin]

Прикрепляем логи с зараженного ПК

 

Прикрепили логи с ПК где находится зашифрованная общая папка

FRST64 Logs.zip

Логи ПК где находится зашифрованная общая папка.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Video\AppData\Local\Temp\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\Users\Public\Documents\README.hta
2018-05-24 13:02 - 2018-05-24 13:02 - 000009027 _____ C:\ProgramData\README.hta
2018-05-24 13:00 - 2018-05-24 13:00 - 000009027 _____ C:\Users\Video\Desktop\README.hta
C:\Windows\Inf\axperflib
C:\Windows\Inf\NETLIBRARIESTIP
Task: {D625F6CA-3A86-428E-B8D1-65CB512E3972} - \AdobeReaderUpdate -> No File <==== ATTENTION
Task: {65D7BC90-FE64-4248-9489-AB86C3CA2C3A} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
Task: {10597CF2-0D11-4F8F-8020-2CA3AE71D49B} - \KMSAutoNet -> No File <==== ATTENTION
Task: {1E336BDF-482E-4B54-B5CF-F26DC5DA3BED} - \Adobe Reader -> No File <==== ATTENTION

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера выполните вручную.

[Maxim Shadrin]

Прикрепили

Fixlog.txt

Изменено 25 мая, 2018 пользователем Maxim Shadrin

[thyrex]

Теперь по второй машине

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Task: {3C4726CD-6939-4B46-A591-74503040E8F8} - \Adobe Reader -> No File <==== ATTENTION
Task: {66152B46-6E9A-4FCB-8026-BA238F365795} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

[Maxim Shadrin]

Логи ПК 2

Fixlog.txt

[thyrex]

Проверьте ЛС

[Maxim Shadrin]

Дешифратор работает, но некоторые файлы остаются зашифрованными 

Прикрепили лог дешифровки с одной папки

CryptConsoleDecrypter log.txt

[thyrex]

Это значит, что они зашифрованы другим ключом для другого ID. Вы не первый, кто с этим сталкивается.

Надо найти все до единого файлы README.hta, запаковать в один архив и прикрепить к следующему сообщению.

Если пострадало несколько компьютеров, значит искать и на них.